Installation in einem Cluster

Bevor Sie in einem Cluster installieren, siehe Mehrere Management-Server (Cluster) (Erklärung) und Anforderungen für Cluster.

Die Beschreibungen und Illustrationen unterscheiden sich ggf. von dem, was auf Ihren Bildschirm angezeigt wird.

Zum Installieren des Management-Servers:

  1. Installieren Sie den Managementserver und alle seine Unterkomponenten auf dem ersten Server im Cluster.

    Der Managementserver muss mit einem bestimmten Benutzer installiert werden und nicht als Netzwerkdienst. Hierfür ist es erforderlich, dass Sie zur Installation die Option Benutzerdefiniert verwenden. Der spezifische Benutzer muss außerdem Zugriff zum gemeinsamen Netzlaufwerk haben, und vorzugsweise ein Passwort, das nicht abläuft.

Konfigurieren Sie als nächstes den Dienst Management Server als allgemeinen Dienst im ausfallsicheren Cluster:

Dieses Beispiel gilt für Microsoft Windows Server 2012. Dieses Verfahren kann für andere Windows-Versionen abweichen.

  1. Gehen Sie auf dem letzten Server, auf dem Sie den Managementserver installiert haben, auf Start > Administrative Hilfsmittel, öffnen Sie das Failover Cluster Management von Windows. Erweitern Sie in dem Fenster Failover Cluster Management Ihren Cluster, klicken Sie mit der rechten Maustaste auf Dienste und Anwendungen und wählen Sie Als Dienst oder Anwendung konfigurieren.

    Fenster "Failover Cluster Management" in Microsoft Windows Server 2012.

  2. Klicken Sie in der Dialogbox Hohe Verfügbarkeit auf Weiter.
  3. Wählen Sie den Allgemeinen Dienst aus und klicken Sie dann auf Weiter.
  4. Machen Sie auf der dritten Seite der Dialogbox keinerlei Angaben und klicken Sie dann auf Weiter.
  5. Wählen Sie den Milestone XProtect Management Server-Dienst aus, und klicken Sie dann auf Weiter. Geben Sie den Namen an (Host-Name des Clusters), den die Clients verwenden, wenn sie auf den Dienst zugreifen, und klicken Sie dann auf Weiter.
  6. Für den Dienst ist kein Speicherplatz erforderlich, klicken Sie auf Weiter. Für die Registrierung sollten keine Einstellungen repliziert werden, klicken Sie auf Weiter. Überprüfen Sie, ob der Cluster-Dienst Ihren Bedürfnissen entsprechend konfiguriert ist, und klicken Sie dann auf Weiter. Der Managementserver ist nun im ausfallsicheren Cluster als allgemeiner Dienst konfiguriert. Klicken Sie auf Fertigstellen.
  7. In der Einrichtung des Clusters sollten der Ereignisserver und der Data Collector als abhängiger Dienst des Management-Servers eingestellt werden, so dass der Ereignisserver anhält, wenn der Management-Server angehalten wird.
  8. Zum Hinzufügen des Milestone XProtect Event Server-Dienstes als Ressource zum Milestone XProtect Management Server Cluster-Dienst klicken Sie mit der rechten Maustaste auf den Cluster-Dienst und klicken Sie auf Ressource hinzufügen > 4 - Allgemeiner Dienst und wählen Sie Milestone XProtect Event Server aus.

Aktualisierung der Cluster-URL:

Wenn Sie Konfigurationsänderungen vornehmen, halten Sie auf dem Microsoft Failover Cluster Manager die Steuerung und Überwachung des Dienstes an, damit der Server Configurator die Änderungen vornehmen kann, und starten bzw. stoppen Sie den Management Server Dienst. Wenn Sie den Startyp des Failover Cluster Service auf "Manuell" ändern, sollte dies nicht zu Konflikten mit dem Server Configurator führen.

Auf den Management Server Computern:

  1. Starten Sie den Server Configurator auf jedem der Computer, auf denen ein Managementserver installiert ist.
  2. Gehen Sie auf die Seite Registrierung.
  3. Klicken Sie auf das Bleistiftsymbol (), damit Sie die Adresse des Management Servers bearbeiten können.
  4. Ändern Sie die Adresse des Managements Servers in die URL des Clusters, z.B. http://MyCluster.
  5. Klicken Sie auf Registrieren.

Auf Computern mit Komponenten, die den Management Server verwenden (z.B. Recording Server, Mobile Server, Event Server, , API Gateway):

  1. Starten Sie den Server Configurator auf jedem der Computer.
  2. Gehen Sie auf die Seite Registrierung.
  3. Ändern Sie die Adresse des Managements Servers in die URL des Clusters, z.B. http://MyCluster.
  4. Klicken Sie auf Registrieren.

Verwenden Sie ein Zertifikat für einen external IDP in einer Cluster-Umgebung

Bei der Installation eines XProtect in einer Einzelserver-Umgebung werden die external IDP Konfigurationsdaten mithilfe der Data Protection API (DPAPI) geschützt. Wenn Sie den Management Server in einem Cluster einrichten, müssen die external IDP Konfigurationsdaten mit einem Zertifikat geschützt werden, damit ein reibungsloses Knoten-Failover zu gewährleistet ist.

Weitere Informationen dazu, wie ein Zertifikat erstellt wird, finden Sie unter Der Milestone Leitfaden zur Zertifizierung.

Sie müssen das Zertifikat in den persönlichen Zertifikatspeicher importieren und das Zertifikat auf dem Computer als vertrauenswürdig einstufen.

Um den Datenschutz einzurichten, müssen Sie den Daumenabdruck des Zertifikats in die Identity Provider Konfiguration aufnehmen.

  1. Importieren Sie das Zertifikat in den persönlichen Zertifikatspeicher, und achten Sie darauf, dass:

    • das Zertifikat gültig ist

    • das Identity Provider app pool (IDP) Konto über Berechtigungen für den privaten Schlüssel des Zertifikats verfügt.

    Weitere Informationen darüber, wie Sie überprüfen können, ob das Konto über Berechtigungen für den privaten Schlüssel des Zertifikats verfügt, finden Sie unter Der Milestone Leitfaden zur Zertifizierung.

  2. Suchen Sie die Datei appsettings.json im Installationspfad des Identity Provider (“[Installationspfad]\Milestone\XProtectManagement Server\IIS\Identity Provider”).

  3. Legen Sie den Daumenabdruck des Zertifikats fest im Abschnitt:

    4. "DataProtectionSettings": {
    "ProtectKeysWithCertificate": {
    "Thumbprint": ""
    }
    },

  1. Wiederholen Sie den 3. Schritt auf allen Management-Server-Knoten.

  2. Erzwingen Sie einen Knoten-Failover, damit die Einrichtung der Zertifikate korrekt erfolgt.

  3. Melden Sie sich erneut über den Management-Client an und wenden Sie die Konfiguration des externen Anbieters an. Wenn die Konfiguration bereits angewendet wurde, müssen Sie das Client-Geheimnis von external IDP erneut in den Management-Client eingeben.

Fehlerbehebung, wenn eine external IDP-Konfiguration mit einem Zertifikat geschützt ist

Ungültiges Zertifikat/abgelaufenes Zertifikat

Wenn das konfigurierte Thumbprint-Zertifikat ein nicht vertrauenswürdiges oder abgelaufenes Zertifikat darstellt, kann der Identity Provider nicht starten. Im Protokoll Identity Provider (C:\ProgramData\Milestone\Identity Provider\Logs\Idp.log) wird klar angegeben, ob das Zertifikat ungültig ist.

Lösung:

Achten Sie darauf, dass das Zertifikat auf dem Computer gültig ist und dass ihm vertraut wird.

Fehlende Berechtigungen für private Schlüssel von Zertifikaten

Der Identity Provider kann die Daten ohne Zugriffsrechte auf die privaten Schlüssel nicht schützen. Wenn der Identity Provider nicht die Berechtigung hat, wird die folgende Fehlermeldung in die Protokolldatei des Identity Provider (C:\ProgramData\Milestone (\Identity Provider\Logs\Idp.log) geschrieben:

FEHLER- Bei der Verarbeitung des Schlüsselelements ‘<key id=”[installation specific]” version=”1” />’ ist eine Ausnahme aufgetreten. Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: Keyset existiert nicht

Lösung:

Vergewissern Sie sich, dass das Identity Provider app pool (IDP)-Konto über Berechtigungen für die privaten Schlüssel des Zertifikats verfügt.

Prüfen Sie die Berechtigungen für einen privaten Schlüssel eines Zertifikats:

  1. Wählen Sie Start in der Windows-Taskleiste und öffnen Sie das Tool "Computerzertifikate verwalten" (certlm.msc).

  2. Navigieren Sie zum persönlichen Zertifikatspeicher und suchen Sie das Zertifikat, das für die Verschlüsselung verwendet wird.

  3. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Alle Aufgaben > Private Schlüssel verwalten.

  4. Vergewissern Sie sich unter Berechtigungen, dass das Identity Provider app pool (IDP)-Konto über Leseberechtigungen verfügt.